Заранее прошу прощения, если подобное уже обсуждалось, но найти я так и не смог...
Есть банк, который принял стандарты БР, и в котором имеется несколько программных средств для обработки ПДн - система кадры/зарплата, налогоплательщик ФЛ и пенсионный фонд. Кадры/зарплата является клиент-серверной, причем база расположена на сервере БД, на котором крутятся еще несколько баз, не хранящих в себе ПДн. Клиентские рабочие места располагаются в бухгалтерии и в отделе кадров. Налогоплательщик представляет собой локальное ПО, установленное на одном рабочем месте в бухгалтерии. Пенсионный фонд, также локальное - на одном рабочем месте в кадрах. Причем данные для налогоплательщика и для пенсионного выгружаются из системы кадры/зарплата.
Эти ИС разделили на 3 и классифицировали их как специальные ИСПДн с требованиями по обеспечению безопасности персональных данных при их обработке в ИСПДн, соответствующими классу K3.
Вопросы в следующем:
1. Есть ли необходимость разделять на 3 ИСПДн, если цель собственно одна - обработка ПДн сотрудников банка?
2. Необходимо ли физическое отделение сервера с базой данных кадры/зарплата от остальных баз данных или достаточно отделения этой базы на другой материальный носитель в рамках одного сервера?
3. Каким МЭ допускается защищать указанные ИСПДн, в соответствии с указанным классом? обязательно ли отдельное устройство, либо это может быть программный фаервол, и если да, то какой, и необходим ли для него сертификат фстэк? Либо можно разделить VLAN'ами?
4. Возможно ли присутствие одной рабочей станции сразу в нескольких ИСПДн?
-
Вопрос по разделению ИСПДн.
Последний раз редактировалось В.Травников; 24.02.2011, 08:01. -
Итак, определился. Имеется одна ИСПДн - зарплата/кадры. В нее входят несколько рабочих станций, сервер БД (все вместе входят в состав локальной сети банка) и рабочие станции в филиалах, подключаемые к СУБД через инет. Реализовать хочу так: установить випнет/континент, подключив к пограничным маршутизаторам, тем самым обеспечу защиту канала и закрою требование п. 7.7.1 СТО БР ИББС 1.0. Теперь вопрос: необходим ли межсетевой экран на каждую рабочую станцию, входящую в состав ИСПДн? Либо мне все же их выделить в отдельную подсеть, а на границе поставить МСЭ? Склоняюсь ко второму, вроде так грамотнее.
И еще... Имею ли я право установить и настроить СКЗИ для внутренних нужд банка, если банк не имеет лицензии ФСБ на ТО криптосредств? -
2. Если цели не совместимы, то отдельный сервер. Но вопрос совместимости целей обработки это отдельная "пестня"Сообщение от В.Травников Посмотреть сообщение
3. МЭ 5 класса для межсегментного разделения (сравнивайте требования 58 приказа и РД МЭ Гостехкомиссии)Прокомментировать:
-
Спасибо за ответы. Осталось прояснить 2 и 3 вопросы...Прокомментировать:
-
Как минимум налогоплательщик ФЛ и пенсионный фонд это не Ваши ИСПДн, соответственно как я понимаю, что требования к защите должны Вам предоставить, непосредственные владельцы систем, а в данном случаи это налоговая и пенсионный фонд. Так, что можете пока защищать только систему кадры/зарплата.Сообщение от В.Травников Посмотреть сообщениеПрокомментировать:
-
Посмотрите сперва здесь и здесь (и далее по ссылкам в ветках). Часть вопросов отпадет. Мож возникнут новыеСообщение от В.Травников Посмотреть сообщение
Прокомментировать:
Прокомментировать: